Full Speed für das Security Operations Center
Wie Automatisierung die steigenden Anforderungen an das SOC bewältigen kann
Keyfacts:
- Die Anforderungen an das Security Operations Center (SOC) steigen. Gleichzeitig nimmt die Komplexität der Aufgaben zu.
- Damit das SOC den Erwartungen gerecht werden kann, ist eine möglichst weitgehende Automatisierung der Prozesse notwendig.
- Mit (teil-)automatisierten Deployments im Security Information & Event Management (SIEM) und einer SOAR-Solution (Security Orchestration, Automation & Response) kann die Effizienz und Produktivität des SOC deutlich gesteigert werden.
Eine wachsende Zahl von Bedrohungen, eine Flut von Ereignissen und eine große Vielfalt an Produkten und Tools: Das Security Operations Center (SOC) kämpft mit zahlreichen Herausforderungen. Immer mehr zu überwachende Assets müssen einbezogen und eine immer höhere Komplexität der Netzwerke beherrscht werden. Hinzu kommen der Mangel an Fachkräften und die zunehmende Professionalisierung der Cyber-Kriminellen.
Viele Automatisierungspotenziale bei SIEM und SOAR
Klar ist: Das Mehr an Aufgaben und Herausforderungen lässt sich nur bewältigen, wenn möglichst viele sich wiederholende und heute noch manuell ausgeführte Tätigkeiten automatisiert werden. Teams und Tools müssen stärker digital vernetzt und zeitaufwändige Prozesse, die insbesondere durch manuelle Fehler verursacht werden, vermieden werden. Dabei gilt es, heute noch fragmentierte Informationen, unterschiedliche Dashboards und parallele Prozesse in ein konsistentes System zu überführen.
Ansätze zur Automatisierung des SOC gibt es nicht zuletzt aufgrund seiner vielen Aufgaben und Funktionen zuhauf. So ergeben sich zum einen viele Automatisierungspotenziale im Security Information & Event Management (SIEM). Das SIEM ist für das Erkennen von Angriffsmustern und das Generieren von Alarmen zuständig. Hierzu sammelt es Loginformationen unterschiedlichster Quellen und hält sicherheitsrelevante Ereignisse vor. Zum anderen besteht ein großer Hebel zur Automatisierung im Security Orchestration, Automation & Response (SOAR). Das SOAR umfasst verschiedene Tools, Prozesse und Technologien, um eine effektive und effiziente Reaktion auf Sicherheitsvorfälle zu ermöglichen.
SIEM: Infrastructure-as-Code
So lässt sich beispielsweise ein erheblicher Effizienzgewinn im SIEM über (teil-)automatisierte SIEM Deployments erzielen. Die Idee: Alle für das SIEM benötigten Ressourcen und deren Konfiguration werden in Templates in Form von lesbarem Code deklariert und gespeichert. Über (bestehende) CI-/CD-Pipelines können die nötigen Schritte zur Verarbeitung automatisiert umgesetzt werden. Die eigentlichen SIEM-Ressourcen werden dann über Schnittstellen oder Provider bereitgestellt (deployed). Dabei ist es gleichgültig, um welche Ressourcen es sich handelt: Computing, Software, Konfigurationen, Log-Forwarder, Erkennungsregeln, Playbooks usw.
Durch eine Entkopplung der produkt- und anwendungsspezifischen Anforderungen von der tatsächlich genutzten Umgebung ist ein berechenbares, zuverlässiges und vor allem auch kontrollierbares Verteilen von Anwendungen und Infrastruktur möglich. Bisher manuell durchgeführte Schritte können so automatisiert und das Einhalten der Unternehmensvorgaben während des Roll-outs im Rahmen von Code-Qualität oder sonstiger Governance besser kontrolliert werden. Dabei kann der Code (in Form von abstrakten Templates) in unterschiedlichen Stages wiederverwendet werden.
Einführung einer SOAR-Solution
Die Qualität und die Produktivität des SOC lassen sich dagegen durch die Einführung einer SOAR-Solution deutlich erhöhen. Sie kann insbesondere in den Bereichen „Data Ingest“, „Detection“ und „Investigation“ zu einem hohen Automatisierungsgrad beitragen. In diesen drei Phasen des Security Operations Workflows werden die notwendigen Vorgänge aufgrund verschiedener Herausforderungen – von fragmentierten Datenquellen über verschiedene Systeme bis hin zu schlechten Visualisierungen und Korrelationen – noch zu einem hohen Anteil manuell bearbeitet.
Eine SOAR-Solution ermöglicht es, durch ein Streamlined Onboarding & Change Management, eine Out-of-the-Box Detection und eine Automated Investigation sämtliche Phasen des Security-Operations-Workflows mit den Response-Aktivitäten zu verknüpfen. Die gesamte Bearbeitungsdauer eines Sicherheitsvorfalls reduziert sich dadurch erheblich. So lässt sich beispielsweise die Untersuchung einer potenziellen Phishing-E-Mail von 75 auf rund zwei Minuten verringern.
Anforderungen an das SOC werden weiter steigen
Nicht zuletzt aufgrund der weiter zunehmenden Cyber-Kriminalität und der damit zu erwartenden Ausweitung der regulatorischen Anforderungen wird die Bedeutung eines hohen Automatisierungsgrades im SOC in Zukunft weiter zunehmen. Es ist daher ratsam, sich frühzeitig mit den Möglichkeiten der Automatisierung von Prozessen im SIEM und SOAR auseinanderzusetzen und diese Potenziale bereits beim Aufbau leistungsfähiger Strukturen zu berücksichtigen.
In weiteren Artikeln beschreiben wir, auf welche vier Schritte es beim Aufbau eines SOC ankommt, was bei der Auswahl des Betriebsmodells zu beachten ist und wie der Aufbau eines leistungsfähigen Log-Source-Managements gelingt.
